El Registro de Actividades de Tratamiento a partir del RGPD, 2018

El Reglamento General de Protección de Datos (RGPD) supuso un cambio de paradigma en la protección de datos personales: pasamos del modelo de protección reactivo vigente hasta 2018, a un nuevo modelo de gestión del riesgo, basado en la cultura de “compliance” o cumplimiento normativo anglosajón (responsabilidad proactiva).

El cambio de modelo implica, en la práctica, que las administraciones deben implementar una serie de medidas técnicas, organizativas y de seguridad para garantizar que los tratamientos de datos son conformes con la legislación vigente, instaurando unos procedimientos que nos permita demostrarlo.

Como primera medida para cumplir con la responsabilidad proactiva, surge la obligación de la elaboración del RAT, introducida por el artículo 30 del RGPD, que obliga a las Administraciones Públicas a documentar los flujos de datos personales que circulan dentro de ellas. Este registro, sustituye a la inscripción de ficheros mencionada (LOPD 15/1999), de forma que cada responsable y, en su caso, el encargado del tratamiento, registrarán las actividades de tratamiento efectuadas bajo su responsabilidad.

El RAT, como pilar de la responsabilidad proactiva, debe contener toda la información relativa a los tratamientos, y de él debemos extraer la información que el RGPD nos requiere mostrar a los usuarios de forma “concisa” y “de fácil compresión”. Para alcanzar este deber de informar, las Autoridades de Protección de Datos recomiendan adoptar un modelo de información por capas o niveles.

En nuestro caso, Eustat, todo el proceso del cambio está bajo los auspicios de la DPD del Gobierno Vasco. A la hora de elaborar el RAT, no partimos de cero, sino que tomamos los ficheros previamente declarados ante la Agencia Vasca de Protección de Datos y los organizamos en torno a operaciones de tratamiento concretas (vinculadas a una finalidad básica común). Así, desde junio de 2021, Eustat expone a través de la página de la Delegada de Protección de Datos (https://www.euskadi.eus/registro-de-actividades-de-tratamiento-rat/web01-a2datuba/es/) todas nuestras actividades de tratamiento.

Una vez explicado el marco legal del RAT y el deber de información que exige el RGPD, el objeto de la ponencia es explicar cómo Eustat ha llevado a cabo esa obligación, tanto a nivel jurídico como informático, así como ofrecer otras posibles opciones.